Control de Acceso Basado en Conjutos de Reglas (RSBAC) para Linux - IntroducciónSistemas de control de acceso tradicionales y RSBAC Los sistemas tradicionales de control de acceso usados para ser integrados en el núcleo del sistema. La política actual de seguridad se ha conectado profundamente al diseño del sistema y codificado en el módulo de seguridad, haciendo que las modificaciones para cumplir con los requisitos de cambio sean una tarea difícil de llevar a cabo. En este trabajo, uso una nueva propuesta de L. J. La Padula, basada en el "Marco Generalizado para el Control de Acceso (Generalized Framework for Access Control), el cual fue desarrollado por un grupo de trabajo dirigido por Marshall Abrams del MITRE. Mediante la división de los componentes funcionales pudieron simplemente configurar las distintas políticas de seguridad basándose en modelos bien conocidos y fácilmente extensibles. Para la implementación, elegí la variante Unix Linux de Unix, gracias a que su código está disponible de forma libre. Es también muy estable y cercano tanto al ejemplo de sistema de La Padula como a los estándares Unix, haciendo que los resultados sean fácilmente transferibles a otros sistemas. El paquete se llamó "Control de Acceso Basado en Conjuntos de Reglas" (RSBAC). Usando un sistema similar a Unix se obtuvo la meta principal de extender un control de acceso débil y discrecional (discretionary) mediante un nuevo control de acceso obligatorio (mandatory) nuevo, más fuerte y más flexible. En lugar de codificar, debería poder realizarse la adaptación de las políticas de seguridad mediante la administración de varios módulos de seguridad. La fácil adición de otros módulos de seguridad se debería incluir igualmente. En esta tesis, la propuesta de La Padula es comprobada, extendida y completada para un sistema real y finalmente, implementada. Como ejemplo especial de la capacidad para la integración, se escogió el complejo modelo de privacidad del Dr. Simone Fischer-Huebner, implementándolo por primera vez en un sistema real. La adaptación a mis conceptos se realizó junto a Simone Fischer-Huebner. Enfocándonos en la privacidad, el registro extensivo se realiza usando seudónimos que pueden modificarse y leídos únicamente por los gestores de la seguridad o de la protección de datos. Como resultado, el incremento en la seguridad es cotejado con los criterios funcionales ITSEC, extendidos por dos metas de privacidad. El contenido de este documento, a no ser que se especifique expresamente, está registrado bajo los términos de la licencia CC-BY-SA-2.5. Se aplican las Pautas de Utilización del logotipo y nombre de Gentoo. |
|